İnternet servis sağlayıcısı TurkNet, 244.396 abonesine ait kişisel verilerin siber saldırı sonucu ele geçirildiğini duyurdu. Kişisel Verileri Koruma Kurumu (KVKK), veri ihlalini kamuoyuna açıklayarak, yaşanan güvenlik açığının detaylarını paylaştı. Sızıntı, 26 Şubat 2025 tarihinde başladığı, ancak 11 Mart 2025’te fark edildiği belirtiliyor. Bu olay, TurkNet kullanıcıları için ciddi bir güvenlik tehdidi oluşturdu.
Sızan Veriler ve Etkilenen Kişiler
Veri sızıntısı, müşterilerin hassas kişisel bilgilerini içeriyor. Bu bilgiler arasında isim-soyisim, telefon numarası, abonelik numarası, T.C. kimlik numarası, abonelik devre bilgileri, adres ve statik IP bilgileri yer almakta. Bu tür kişisel verilerin ele geçirilmesi, kullanıcıların kimlik hırsızlığına, dolandırıcılığa ve diğer kötü niyetli faaliyetlere maruz kalmalarına yol açabilir.
Saldırının Teknik Boyutu: SQL Injection Yöntemi
KVKK açıklamasına göre, veri ihlali, TurkNet'in servislerinden birine yönelik SQL Injection saldırısıyla gerçekleşti. SQL Injection, kötü niyetli kişilerin, veritabanlarına yetkisiz erişim sağlamak için kullandıkları bir tür siber saldırı yöntemidir. Bu saldırı türü, kullanıcı verilerinin güvenliğini tehdit eden ciddi bir risk oluşturur.
Saldırının, 26 Şubat 2025 tarihinde başladığı, ancak yalnızca 11 Mart 2025’te BTK'ya yapılan şikayet kaydıyla fark edildiği açıklandı. İlk incelemelerde, saldırganların 244.396 abonenin kişisel verilerine erişim sağladığı belirlendi. Ancak TurkNet, saldırının tüm boyutlarını tam olarak anlamak için detaylı incelemelere devam ettiklerini bildirdi. Bu da, kullanıcıların kişisel verilerinin daha büyük bir güvenlik tehdidi oluşturduğu anlamına geliyor.
KVKK’dan Resmi Açıklama ve Yasal Süreç
Kişisel Verileri Koruma Kurumu, yaşanan veri ihlalini "6698 sayılı Kişisel Verilerin Korunması Kanunu" çerçevesinde değerlendirdi. Kurum, TurkNet’in bu ihlali en kısa sürede kendilerine bildirdiğini ve yasal sorumluluklarını yerine getirdiğini belirtti. KVKK, 20 Mart 2025 tarihinde verdiği kararla, söz konusu veri ihlalinin resmi internet sitesinde ilan edilmesine karar verdi.
Veri sorumlusu olan TurkNet, KVKK’ya gönderdiği ihlal bildiriminde, saldırının SQL Injection yöntemiyle gerçekleştirildiğini ve 11 Mart 2025’te fark edildiğini doğruladı. İhlalden etkilenen kişisel verilerin ayrıntıları da bildirildi. Bu süreçte, 6698 sayılı kanunun 12. maddesinin 5. fıkrasına uygun hareket edildiği vurgulandı. İlgili veriler, en kısa sürede hem kullanıcılarla hem de ilgili kurumlarla paylaşıldı.
TurkNet’in Alınan Tedbirler ve Kamuoyuna Duyurusu
TurkNet, yaşanan güvenlik açığının ardından gerekli teknik ve idari tedbirleri alarak, kullanıcı verilerinin korunmasına yönelik adımlar attığını belirtti. Şirket, siber saldırıya uğrayan sistemlerinin güvenliğini sağlamak için güçlendirilmiş güvenlik protokolleri ve yazılım güncellemeleri gerçekleştirdi. Bunun yanı sıra, kullanıcıların şifrelerinin ve finansal bilgilerinin güvende olduğunu, sadece kişisel bilgilerin sızdırıldığını açıkladı.
Saldırının ardından, TurkNet müşterileri için özel bir destek hattı oluşturuldu. Müşteriler, ihlal hakkında daha fazla bilgi almak ve gerekli güvenlik önlemlerini almak için şirketin çağrı merkeziyle iletişime geçebilecek. TurkNet, "0850 288 80 80" ve "0850 344 28 18" numaralarından kullanıcılarına yardımcı olmayı sürdürüyor. Ayrıca, fiziksel adres üzerinden de başvurular kabul ediliyor. Kullanıcılar, "Fulya, Büyükdere Cd. Torun Center No: 80 A Blok No: 74 A 34394 Şişli/İstanbul" adresine giderek veya telefonla bilgi alabilirler.
Siber Güvenlik ve Kullanıcı Hakları
Veri ihlali, sadece TurkNet için değil, tüm internet servis sağlayıcıları ve dijital platformlar için büyük bir güvenlik sorunu teşkil ediyor. Bu tür siber saldırılar, kişisel verilerin korunması adına alınması gereken önlemleri daha da önemli hale getiriyor. Kullanıcılar, verilerinin güvenliğini sağlamak için internet üzerindeki hizmetleri daha dikkatli kullanmalı, güçlü şifreler tercih etmeli ve kişisel bilgilerini yalnızca güvenli platformlarda paylaşmalıdır.
KVKK, bu tip ihlallerin önüne geçilmesi adına denetimlerini sürdürecek ve verilerin güvenliğini sağlamayan şirketlere karşı yasal işlemler başlatacaktır. Bu tür olayların tekrar yaşanmaması için şirketlerin veri güvenliğine daha fazla yatırım yapmaları gerektiği vurgulanmaktadır.
